复习与网络安全相关知识0(第3讲)

网络安全协议基础第1页内容提要本章介绍OSI七层网络模型TCP/IP协议簇。重点介绍IP协议、TCP协议、UDP协议和ICMP协议。介绍惯用网络服务：文件传输服务、Telnet服务、电子邮件服务和、Web服务介绍惯用网络服务端口和惯用网络命令使用。第2页OSI参考模型OSI参考模型是国际标准化组织ISO(InternationalStandardsOrganization)制订模型，把计算机与计算机之间通信分成七个相互连接协议层，结构如图2-1所表示。第3页OSI参考模型极少有产品是完全OSI模式，然而OSI参考模型为网络结构提供了可行机制。OSI模型将通信会话需要各种进程划分成7个相对独立层次。第4页1、物理层（PhysicalLayer）最底层是物理层，这一层负责传送比特流，它从第二层数据链路层接收数据帧，并将帧结构和内容串行发送，即每次发送一个比特。物理层只能看见0和1，只与电信号技术和光信号技术物理特征相关。这些特征包含用于传输信号电流电压、介质类型以及阻抗特征。该层传输介质是同轴电缆、光纤、双绞线等，有时该层被称为OSI参考模型第0层。物理层可能受到安全威胁是搭线窃听和监听，能够利用数据加密、数据标签加密，数据标签，流量填充等方法保护物理层安全。第5页2、数据链路层（DataLinkLayer）OSI参考模型第二层称为数据链路层。与其它层一样，它担负两个责任：发送和接收数据。还要提供数据有效传输端到端连接。在发送方，数据链路层负责将指令、数据等包装到帧中，帧是该层基本结构。帧中包含足够信息，确保数据能够安全地经过当地局域网抵达目标地。第6页3、网络层（NetworkLayer）网络层（NetworkLayer）主要功效是完成网络中主机间报文传输。在广域网中，这包含产生从源端到目标端路由。当报文不得不跨越两个或多个网络时，又会产生很多新问题。比如第二个网络寻址方法可能不一样于第一个网络；第二个网络也可能因为第一个网络报文太长而无法接收；两个网络使用协议也可能不一样等。网络层必须处理这些问题，使异构网络能够互连。在单个局域网中，网络层是冗余，因为报文是直接从一台计算机传送到另一台计算机。第7页4、传输层（TransportLayer）传输层主要功效是完成网络中不一样主机上用户进程之间可靠数据通信。最好传输连接是一条无差错、按次序传送数据管道，即传输层连接是真正端到端。因为绝大多数主机都支持多用户操作，因而机器上有多道程序，这意味着多条连接将进出于这些主机，所以需要以某种方式区分报文属于哪条连接。识别这些连接信息能够放入传输层报文头中。第8页5、会话层（SessionLayer）会话层允许不一样机器上用户之间建立会话关系。会话层允许进行类似传输层普通数据传送，在一些场所还提供了一些有用增强型服务。允许用户利用一次会话在远端分时系统上登录，或者在两台机器间传递文件。会话层提供服务之一是管理对话控制。会话层允许信息同时双向传输，或限制只能单向传输。假如属于后者，类似于物理信道上半双工模式，会话层将统计此时该轮到哪一方。一个与对话控制相关服务是令牌管理（TokenManagement）。有些协议确保双方不能同时进行一样操作，这一点很主要。为了管理这些活动，会话层提供了令牌，令牌能够在会话双方之间移动，只有持有令牌一方能够执行某种操作。第9页6、表示层（PresentationLayer）表示层完成一些特定功效，这些功效无须由每个用户自己来实现。值得一提是，表示层以下各层只关心从源端机到目标机可靠地传送比特，而表示层关心是所传送信息语法和语义。表示层服务一个经典例子是用一个一致选定标准方法对数据进行编码。大多数用户程序之间并非交换随机比特，而是交换诸如人名、日期、货币数量和发票之类信息。这些对象是用字符串、整型数、浮点数形式，以及由几个简单类型组成数据结构来表示。第10页7、应用层（ApplicationLayer）应用层包含大量人们普遍需要协议。即使，对于需要通信不一样应用来说，应用层协议都是必须。比如，PC（PersonalComputer）机用户使用仿真终端软件经过网络仿真某个远程主机终端并使用该远程主机资源。这个仿真终端程序使用虚拟终端协议将键盘输入数据传送到主机操作系统，并接收显示于屏幕数据。第11页TCP/IP协议簇TCP/IP协议簇模型和其它网络协议一样，TCP/IP有自己参考模型用于描述各层功效。TCP/IP协议簇参考模型和OSI参考模型比较如图2-2所表示。第12页TCP/IP协议簇TCP/IP参考模型实现了OSI模型中全部功效。不一样之处是TCP/IP协议模型将OSI模型部分层进行了合并。第13页解剖TCP/IP模型TCP/IP协议簇包含四个功效层：应用层、传输层、网络层及网络接口层。这四层概括了相对于OSI参考模型中七层。1、网络接口层网络接口层包含用于物理连接、传输全部功效。OSI模型把这一层功效分为两层：物理层和数据链路层，TCP/IP参考模型把两层合在一起。2、网络层（Internet层）网络层由在两个主机之间通信所必须协议和过程组成。这意味着数据报文必须是可路由。第14页解剖TCP/IP模型3、传输层这一层支持功效包含：为了在网络中传输对应用数据进行分段，执行数学检验来确保所收数据完整性，为多个应用同时传输数据多路复用数据流(传输和接收)。这意味着该层能识别特殊应用，对乱序收到数据进行重新排序。当前主机到主机层包含两个协议实体：传输控制协议(TCP)和用户数据报协议(UDP)。4、应用层应用层协议提供远程访问和资源共享。应用包含Telnet服务、FTP服务、SMTP服务和HTTP服务等，很多其它应用程序驻留并运行在此层，而且依赖于底层功效。该层是最难保护一层。第15页解剖TCP/IP模型TCP/IP组四层、OSI参考模型和惯用协议对应关系如图2-3所表示。第16页网络协议IPIP协议已经成为世界上最主要网际协议。IP功效定义在由IP头结构数据中。IP是网络层上主要协议，同时被TCP协议和UDP协议使用。TCP/IP整个数据报在数据链路层结构如表2-1所表示。表2-1TCP/IP数据报结构以太网数据包头IP头TCP/UDP/ICMP/IGMP头数据第17页IP头结构能够看出一条完整数据报由四部分组成第三部分是该数据报采取协议第四部分是数据报传递数据内容其中IP头结构如表2-2所表示。版本（4位）头长度（4位）服务类型（8位）封包总长度（16位）封包标识（16位）标志（3位）片断偏移地址（13位）存活时间（8位）协议（8位）校验和（16位）起源IP地址（32位）目标IP地址（32位）选项（可选）填充（可选）数据第18页IP头结构IP头结构在全部协议中都是固定，对表2-2说明以下：（1）字节和数字存放次序是从右到左，依次是从低位到高位，而网络存放次序是从左到右，依次从低位到高位。（2）版本：占第一个字节高四位。头长度：占第一个字节低四位。（3）服务类型：前3位为优先字段权，现在已经被忽略。接着4位用来表示最小延迟、最大吞吐量、最高可靠性和最小费用。（4）封包总长度：整个IP报长度，单位为字节。（5）存活时间：就是封包生存时间。通惯用经过路由器个数来衡量，比如初始值设置为32，则每经过一个路由器处理就会被减一，当这个值为0时候就会丢掉这个包，并用ICMP消息通知源主机。（6）协议：定义了数据协议，分别为：TCP、UDP、ICMP和IGMP。定义为：＃definePROTOCOL_TCP0x06＃definePROTOCOL_UDP0x11＃definePROTOCOL_ICMP0x06＃definePROTOCOL_IGMP0x06（7）检验和：校验首先将该字段设置为0，然后将IP头每16位进行二进制取反求和，将结果保留在校验和字段。（8）起源IP地址：将IP地址看作是32位数值则需要将网络字节次序转化位主机字节次序。转化方法是：将每4个字节首尾交换，将2、3字节交换。（9）目标IP地址：转换方法和起源IP地址一样。在网络协议中，IP是面向非连接，所谓非连接就是传递数据时候，不检测网络是否连通。所以是不可靠数据报协议，IP协议主要负责在主机之间寻址和选择数据包路由。第19页抓取Ping指令发送数据包按照第一章Sniffer设置抓取Ping指令发送数据包，命令执行如图2-4所表示。第20页抓取Ping指令发送数据包其实IP报头全部属性都在报头中显示出来，能够看出实际抓取数据报和理论上数据报一致，分析如图2-6所表示。第21页IPv4IP地址分类IPv4地址在1981年9月实现标准化。基本IP地址是8位一个单元32位二进制数。为了方便人们使用，对机器友好二进制地址转变为人们更熟悉十进制地址。IP地址中每一个8位组用0～255之间一个十进制数表示。这些数之间用点“.”隔开，所以，最小IPv4地址值为，最大地址值为，然而这两个值是保留，没有分配给任何系统。IP地址分成五类：A类地址、B类地址、C类地址、D类地址和E类地址。每一个IP地址包含两部分：网络地址和主机地址，上面五类地址对所支持网络数和主机数有不一样组合。第22页1、A类地址一个A类IP地址仅使用第一个8位组表示网络地址。剩下3个8位组表示主机地址。A类地址第一个位总为0，这一点在数学上限制了A类地址范围小于127，所以理论上仅有127个可能A类网络，而地址又没有分配，所以实际上只有126个A类网。技术上讲，也是一个A类地址，不过它已被保留作闭环（LookBack）测试之用而不能分配给一个网络。A类地址后面24位表示可能主机地址，A类网络地址范围从到。每一个A类地址能支持16,777,214个不一样主机地址，这个数是由224次方再减去2得到。减2是必要，因为IP把全0保留为表示网络而全1表示网络内广播地址。第23页2、B类地址设计B类地址目标是支持中到大型网络。B类网络地址范围从到。B类地址蕴含数学逻辑是相当简单。一个B类IP地址使用两个8位组表示网络号，另外两个8位组表示主机号。B类地址第1个8位组前两位总是设置为1和0，剩下6位既能够是0也能够是1，这么就限制其范围小于等于191，这里191由128+32+16+8+4+2+1得到。最终16位（2个8位组）标识可能主机地址。每一个B类地址能支持64,534个惟一主机地址，这个数由216次方减2得到，B类网络有16,382个。第24页3、C类地址C类地址用于支持大量小型网络。这类地址能够认为与A类地址恰好相反。A类地址使用第一个8位组表示网络号，剩下3个表示主机号，而C类地址使用三个8位组表示网络地址，仅用一个8位组表示主机号。C类地址前3位数为110，前两位和为192(128+64)，这形成了C类地址空间下界。第三位等于十进制数32，这一位为0限制了地址空间上界。不能使用第三位限制了此8位组最大值为255-32等于223。所以C类网络地址范围从至。最终一个8位组用于主机寻址。每一个C类地址理论上可支持最大256个主机地址(0～255)，不过仅有254个可用，因为0和255不是有效主机地址。能够有2,097,150个不一样C类网络地址。在IP地址中，0和255是保留主机地址。IP地址中全部主机地址为0用于标识局域网。一样，全为1表示在此网段中广播地址。第25页4、D类地址D类地址用于在IP网络中组播（Multicasting）。D类组播地址机制仅有有限用处。一个组播地址是一个惟一网络地址。它能指导报文抵达预定义IP地址组。所以，一台机器能够把数据流同时发送到多个接收端，这比为每个接收端创建一个不一样流有效得多。组播长久以来被认为是IP网络最理想特征，因为它有效地减小了网络流量。D类地址空间，和其它地址空间一样，有其数学限制，D类地址前4位恒为1110，预置前3位为1意味着D类地址开始于128+64+32等于224。第4位为0意味着D类地址最大值为128+64+32+8+4+2+1为239，所以D类地址空间范围从到239.255.255.254。第26页5、E类地址E类地址虽被定义为保留研究之用。所以Internet上没有可用E类地址。E类地址前4位为1，所以有效地址范围从至55。第27页子网掩码子网掩码是用来判断任意两台计算机IP地址是否属于同一子网络依据。最为简单了解就是两台计算机各自IP地址与子网掩码进行二进制“与”（AND）运算后，假如得出结果是相同，则说明这两台计算机是处于同一个子网络上，能够进行直接通讯。计算机AIP地址为，子网掩码为，将转化为二进制进行“与”运算，运算过程如表2-3所表示。第28页子网掩码计算机AIP地址为，子网掩码为，将转化为二进制进行“与”运算，运算过程如表2-3所表示。IP地址11000000.10101000.00000000.00000001子网掩码11111111.11111111.11111111.00000000IP地址与子网掩码按位“与”运算11000000.10101000.00000000.00000000运算结果转化为十进制第29页子网掩码计算机BIP地址为，子网掩码为，将转化为二进制进行“与”运算。运算过程如表2-4所表示。IP地址11010000.10101000.00000000.11111110子网掩码11111111.11111111.11111111.00000000IP地址与子网掩码按位“与”运算11000000.10101000.00000000.00000000运算结果转化为十进制第30页子网掩码计算机CIP地址为，子网掩码为，将转化为二进制进行“与”运算。运算过程如表2-5所表示。IP地址11010000.10101000.00000000.00000100子网掩码11111111.11111111.11111111.00000000IP地址与子网掩码按位“与”运算11000000.10101000.00000000.00000000运算结果转化为十进制第31页传输控制协议协议TCPTCP是传输层协议，提供可靠应用数据传输。TCP在两个或多个主机之间建立面向连接通信。TCP支持多数据流操作，提供错误控制，甚至完成对乱序抵达报文进行重新排序。第32页TCP协议工作原理TCP在建立连接时候需要三次确认，俗称“三次握手”，在断开连接时候需要四次确认，俗称“四次挥手”。第33页TCP协议三次“握手”第34页TCP协议四次“挥手”需要断开连接时候，TCP也需要相互确认才能够断开连接，四次交互过程如图2-16所表示。第35页UDP和TCP区分UDP提供是非连接数据报服务，意味着UDP无法确保任何数据报传递和验证。UDP结构如图2-21所表示。第36页UDP和TCP传递数据差异UDP和TCP传递数据差异类似于电话和明信片之间差异。TCP就像电话，必须先验证目标是否能够访问后才开始通讯。UDP就像明信片，信息量很小而且每次传递成功可能性很高，不过不能完全确保传递成功。UDP通常由每次传输少许数据或有实时需要程序使用。在这些情况下，UDP低开销比TCP更适合。UDP与TCP提供服务和功效直接对比第37页设置DNS解析需要在主机上设置DNS解析主机，将主机DNS解析指向虚拟机，如图2-22所表示。第38页Telnet服务Telnet是TELecommunicationsNETwork缩写，其名字含有双重含义，既指应用也是指协议本身。Telnet给用户提供了一个经过网络登录远程服务器方式。Telnet经过端口23工作。第39页开启Telnet服务Telnet要求有一个Telnet服务器，此服务器驻留在主机上，等候着远端机器授权登录。要使用Telnet服务首先需要在虚拟机上开启Telnet服务，选择进入Telnet服务管理器，如图2-31所表示。第40页开启Telnet服务在Telnet服务管理器中选择4，开启Telnet服务器，如图2-32所表示。第41页连接Telnet服务器虚拟机上Telnet服务器就开启了，然后在主机DOS窗口中连接虚拟机Telnet服务器，如图2-33所表示。第42页惯用网络命令惯用网络命令有：判断主机是否连通ping指令查看IP地址配置情况ipconfig指令查看网络连接状态netstat指令进行网络操作net指令进行定时器操作at指令。第43页本章总结本章需要重点了解OSI参考模型和TCP/IP协议簇联络和区分了解IP/TCP/UDP/ICMP协议头结构而且学会使用Sniffer进行分析了解惯用网络服务以及它们提供服务端口。熟练掌握惯用网络命令及其使用方法。第44页本章习题一、选择题1.OSI参考模型是国际标准化组织制订模型，把计算机与计算机之间通信分成___________个相互连接协议层。A.5 B.6C.7 D.82.___________服务一个经典例子是用一个一致选定标准方法对数据进行编码。。A.表示层 B.网络层C.TCP层